Daniel Goldberg och Linus Larsson It-säkerhet för …...Daniel Goldberg och Linus Larsson Texten skyddas enligt lag om upphovsrätt och tillhanda-hålls med licensen Creative Commons

hQEMAwKMSsupndKfAQf/TaoXJHg91snSq50/XLcCmYGoNMfSA0EGTrEUfvGbdH08jz3wNMkt4oTHxa9ikQ7P3MnUvQCit6xhPUaR1R9ytYHgq+15/4yFEvTfoGIIcF1kVZh2qKVrEInw7nF34XNdQzEHbNIh4/lDEa/cVrp/COKTaxiDIcFmd33XKxylBADyx/NM/D4u=fmk2hQEMAwKMSsupndKfAQf/TaoXJHg91snSq50/XLcCmYGoNMfSA0EGTrEUfvGbdH08jz3wNMkt4oTHxa9ikQ7P3MnUvQCit6xhPUaR1R9ytYHgq+15/4yFEvTfoGIIcF1kVZh2qKVrEInw7nF34XNdQzEHbNIh4/lDEa/cVrp/COKTaxiDIcFmd33XKxylBADyx/NM/D4u=fmk2hQEMAwKMSsupndKfAQf/TaoXJHg91snSq50/XLcCmYGoNMfSA0EGTrEUfvGbdH08jz3wNMkt4oTHxa9ikQ7P3MnUvQCit6xhPUaR1R9ytYHgq+15/4yFEvTfoGIIcF1kVZh2qKVrEInw7nF34XNdQzEHbNIh4/lDEa/cVrp/COKTaxiDIcFmd33XKxylBADyx/NM/D4u=fmk2hQEMAwKMSsupndKfAQf/TaoXJHg91snSq50/XLcCmYGoNMfSA0EGTrEUfvGbdH08jz3wNMkt4oTHxa9ikQ7P3MnUvQCit6xhPUaR1R9ytYHgq+15/4yFEvTfoGIIcF1kVZh2qKVrEInw7nF34XNdQzEHbNIh4/lDEa/cVrp/COKTaxiDIcFmd33XKxylBADyx/NM/D4u=fmk2hQEMAwKMSsupndKfAQf/TaoXJHg91snSq50/XLcCmYGoNMfSA0EGTrEUfvGbdH08jz3wNMkt4oTHxa9ikQ7P3MnUvQCit6xhPUaR1R9ytYHgq+15/4yFEvTfoGIIcF1kVZh2qKVrEInw7nF34XNdQzEHbNIh4/lDEa/cVrp/COKTaxiDIcFmd33XKxylBADyx/NM/D4u=fmk2hQEMAwKMSsupndKfAQf/TaoXJHg91snSq50/XLcCmYGoNMfSA0EGTrEUfvGbdH08jz3wNMkt4oTHxa9ikQ7P3MnUvQCit6xhPUaR1R9ytYHgq+15/4yFEvTfoGIIcF1kVZh2qKVrEInw7nF34XNdQzEHbNIh4/lDEa/cVrp/COKTaxiDIcFmd33XKxylBADyx/NM/D4u=fmk2hQEMAwKMSsupndKfAQf/TaoXJHg91snSq5/XLcCmYGoNMfSA0EGTrEUfvGbdH08jz3wNMkt4oTHxa9ikQ7P3MnUvQCit6xhPUaR1R9ytYHgq+15/4yFEvTfoGIIcF1kVZh2qKVrEInw7nF34XNdQzEHbNIh4/lDEa/cVrp/COKTaxiDIcFmd3hQEMAwKMSsupndKfAQf/TaoXJHg91snSq50/XLcCmYGoNMfSA0EGTrEUfvGbdH08jz3wNMkt4oTHxa9ikQ7P3MnUvQCit6xhPUaR1R9ytYHgq+15/4yFEvTfoGIIcF1kVZh2qKVrEInw7nF34XNdQzEHbNIh4/lDEa/cVrp/COKTaxiDIcFmd33XKxylBADyx/NM/D4u=fmk2hQEMAwKMSsupndKfAQf/TaoXJHg91snSq50/XLcCmYGoNMfSA0EGTrEUfvGbdH08jz3wNMkt4oTHxa9ikQ7P3MnUvQCit6xhPUaR1R9ytYHgq+15/4yFEvTfoGIIcF1kVZh2qKVrEInw7nF34XNdQzEHbNIh4/lDEa/cVrp/COKTaxiDIcFmd33XKxylBADyx/NM/D4u=fmk2hQEMAwKMSsupndKfAQf/TaoXJHg91snSq50/XLcCmYGoNMfSA0EGTrEUfvGbdH08jz3wNMkt4oTHxa9ikQ7P3MnUvQCit6xhPUaR1R9ytYHgq+15/4yFEvTfoGIIcF1kVZh2qKVrEInw7nF34XNdQzEHbNIh4/lDEa/cVrp/COKTaxiDIcFmd33XKxylBADyx/NM/D4u=fmk2hQEMAwKMSsupndKfAQf/TaoXJHg91snSq50/XLcCmYGoNMfSA0EGTrEUfvGbdH08jz3wNMkt4oTHxa9ikQ7P3MnUvQCit6xhPUaR1R9ytYHgq+15/4yFEvTfoGIIcF1kVZh2qKVrEInw7nF34XNdQzEHbNIh4/lDEa/cVrp/COKTaxiDIcFmd33XKxylBADyx/NM/D4u=fmk2hQEMAwKMSsupndKfAQf/TaoXJHg91snSq50/XLcCmYGoNMfSA0EGTrEUfvGbdH08jz3wNMkt4oTHxa9ikQ7P3MnUvQCit6xhPUaR1R9ytYHgq+15/4yFEvTfoGIIcF1kVZh2qKVrEInw7nF34XNdQzEHbNIh4/lDEa/cVrp/COKTaxiDIcFmd33XKxylBADyx/NM/D4u=fmk2hQEMAwKMSsupndKfAQf/TaoXJHg91snSq50/XLcCmYGoNMfSA0EGTrEUfvGbdH08jz3wNMkt4oTHxa9ikQ7P3MnUvQCit6xhPUaR1R9ytYHgq+15/4yFEvTfoGIIcF1kVZh2qKVrEInw7nF34XNdQzEHbNIh4/lDEa/cVrp/COKTaxiDIcFmd33XKxylBADyx/NM/D4u=fmk2hQEMAwKMSsupndKfAQf/TaoXJHg91snSq5/XLcCmYGoNMfSA0EGTrEUfvGbdH08jz3wNMkt4oTHxa9ikQ7P3MnUvQCit6xhPUaR1R9ytYHgq+15/4yFEvTfoGIIcF1kVZh2qKVrEInw7nF34XNdQzEHbNIh4/lDEa/cVrp/COKTaxiDIcFmd3hQEMAwKMSsupndKfAQf/TaoXJHg91snSq50/XLcCmYGoNMfSA0EGTrEUfvGbdH08jz3wNMkt4oTHxa9ikQ7P3MnUvQCit6xhPUaR1R9ytYHgq+15/4yFEvTfoGIIcF1kVZh2qKVrEInw7nF34XNdQzEHbNIh4/lDEa/cVrp/COKTaxiDIcFmd33XKxylBADyx/NM/D4u=fmk2hQEMAwKMSsupndKfAQf/TaoXJHg91snSq50/XLcCmYGoNMfSA0EGTrEUfvGbdH08jz3wNMkt4oTHxa9ikQ7P3MnUvQCit6xhPUaR1R9ytYHgq+15/4yFEvTfoGIIcF1kVZh2qKVrEInw7nF34XNdQzEHbNIh4/lDEa/cVrp/COKTaxiDIcFmd33XKxylBADyx/NM/D4u=fmk2hQEMAwKMSsupndKfAQf/TaoXJHg91snSq50/XLcCmYGoNMfSA0EGTrEUfvGbdH08jz3wNMkt4oTHxa9ikQ7P3MnUvQCit6xhPUaR1R9ytYHgq+15/4yFEvTfoGIIcF1kVZh2qKVrEInw7nF34XNdQzEHbNIh4/lDEa/cVrp/COKTaxiDIcFmd33XKxylBADyx/NM/D4u=fmk2hQEMAwKMSsupndKfAQf/TaoXJHg91snSq50/XLcCmYGoNMfSA0EGTrEUfvGbdH08jz3wNMkt4oTHxa9ikQ7P3MnUvQCit6xhPUaR1R9ytYHgq+15/4yFEvTfoGIIcF1kVZh2qKVrEInw7nF34XNdQzEHbNIh4/lDEa/cVrp/COKTaxiDIcFmd33XKxylBADyx/NM/D4u=fmk2hQEM

– en introduktion

Daniel Goldberg och Linus Larsson

It-säkerhet för privatpersoner

– en introduktion

Daniel Goldberg och Linus Larsson

It-säkerhet för privatpersoner

Organisationsnummer: 802405-0190Besöksadress: Ringvägen 100 A, 9 tr, StockholmBrevledes på .SE Box 7399, 103 91 StockholmTelefon: +46 8 452 35 00. Fax: +46 8 452 35 02E-post: [email protected] www.iis.se

IT-säkerhet för privatpersoner.SE:s Internetguide, nr 30Version 1.0 2013Daniel Goldberg och Linus LarssonTexten skyddas enligt lag om upphovsrätt och tillhanda-hålls med licensen Creative Commons Erkännande 2.5 Sve-rige vars licensvillkor återfinns på creativecommons.org, för närvarande på sidan creativecommons.org/licenses/by/2.5/se/legalcode.

Illustrationerna skyddas enligt lag om upphovsrätt och tillhan-dahålls med licensen Creative Commons Erkännande-Icke-Kommersiell-IngaBearbetningar 2.5 Sverige vars licensvillkor återfinns på creativecommons.org, för närvarande på sidan creativecommons.org/licenses/by-nc-nd/2.5/se/legalcode.

Vid bearbetning av verket ska .SE:s logotyper och .SE:s gra-fiska element avlägsnas från den bearbetade versionen. De skyddas enligt lag och omfattas inte av Creative Commons-licensen enligt ovan.

.SE klimatkompenserar för sina koldioxidutsläpp och stödjer klimatinitiativet ZeroMission. Se www.zeromission.se för mer information om ZeroMission.

Författare: Daniel Goldberg och Linus LarssonRedaktör: Hasse NilssonProjektledare: Jessica BäckFormgivning: BedowOmslagsillustration: Camilla AtterbyFörsta upplagan.Tack till: Anne-Marie Eklund-Löwinder, .SE och Myndig-heten för samhällsskydd och beredskap, MSB.ISBN: 978-91-87437-05-2

.SE (Stiftelsen för Internetinfrastruktur) ansvarar för Internets svenska toppdomän. .SE är en oberoende allmän-nyttig organisation som verkar för en positiv utveckling av Internet i Sverige.

Alla .SE:s InternetguiderDu hittar alla .SE:s utgivna Internetguider på www.iis.se/guider. Du kan beställa en prenumeration på nyutgivna guider genom att skicka namn och adress till [email protected].

http://www.zeromission.se%20

Innehåll

förord 041. inledning 052. virus, trojaner och maskar 06 2.1 Olika typer – samma syfte 06 2.2 Virus 07 2.3 Trojaner 07 2.4 Maskar 08 2.5 Vad kan de ställa till med? 09 2.6 Hur blir du infekterad? 10 2.7 Social ingenjörskonst 10 2.8 Säkerhetsluckor 10 2.9 Om du inte letade efter ett program, installera det inte 12 2.10 Om du har installerat det, uppdatera det 12 2.11 Om du inte behöver programmet, avinstallera det 12 2.12 Hur upptäcker man att man är infekterad? 13 2.13 Uppdatera, uppdatera, uppdatera 143. nätfiske och den okända avsändaren 15 3.1 Din vän kan vara vem som helst 16 3.2 Att fejka en avsändare är ingen konst 184. trådlösa nätverk 21 4.1 När det går riktigt illa 21 4.2 Så skyddar du nätverket 23 4.3 Publika nätverk 24 4.4 Proffskryptering med VPN 255. lösenord och tvåfaktorsinloggning 27 5.1 Att välja ett bra lösenord 27 5.2 Så knäcks ett lösenord 29 5.3 Samma lösenord överallt? 31 5.4 Programmen som hjälper dig 32 5.5 Två faktorer – framtidens inloggning 326. e-post är som vykort 36 6.1 Kryptering – säkert men lite krångligt 37 6.2 Tre enkla krypteringsverktyg 407. så skyddar du dina pengar 45 7.1 Nätbanken – viktigast av allt 45 7.2 Kontokortet – bedragarens favorit 47 7.3 Skimming, den gamla tidens kortbedrägeri 47

7.4 Den hackade e-handlaren 48 7.5 Betaltjänster – en (lite) tryggare mellanhand 49 7.6 Men jag får väl tillbaka pengarna? 498. mobilen – nästa säkerhetsarena 52 8.1 Så ser hoten ut 52 8.2 Olika plattformar, olika risker 54 8.3 Så skyddar du dig 559. att radera på riktigt 58 9.1 Enkelt återskapa borttagna filer 58 9.2 Så sopar du undan spåren 59 9.3 Stulna telefoner – en guldgruva för tjuven 60 9.4 Så tömmer du din mobiltelefon 61 9.5 Töm telefonen på avstånd 6310. ställ krav! 65 10.1 Hur lagras mitt lösenord? 65 10.2 Hur lagras mina filer? 66 10.3 Vad händer med min information? 6711. ordlista 6812. länkar 74

5

förord

Förord

Aldrig har it-säkerhet varit ett lika omtalat ämne som idag. Vecka efter vecka fylls löp-sedlarna av nyheter om stulna lösenord, manipulerade bankomater och övervak-ningsskandaler. Varningsbrev från våra banker om illasinnade datorvirus, utfor-made för att i tysthet stjäla våra sparpeng-ar, hör till vardagen. Kapade Facebook- och Twitterkonton likaså.

Inte undra på att många blir oroliga. Hur vet man att de filer som finns lagrade på ens dator inte kan läsas av någon an-nan? Hur vet man att ens e-postkonto inte får oväntat besök av en illasinnad angri-pare? Och kan man verkligen lita på att ens pengar är säkra hos nätbanken? Vågar man ge sig ut på nätet över huvud taget?

Det är för att ge svar på sådana frågor som vi har skrivit den här guiden som är till för att lära dig grunderna i hur man håller sig säker i den digitala världen. Vi bjuder på matnyttiga tips om enkla åtgärder för att hålla din e-post, ditt Facebookkonto och

dina bankuppgifter i säkert förvar. Vi för-klarar hur saker och ting fungerar och går igenom till synes knepiga ord och förkort-ningar som “kryptering”, “ssl” och “fabrikså-terställning”. Vi ger dig också en inblick i vad som faktiskt händer bakom skärmen och tangentbordet när du knappar in ett lösenord eller loggar in på din nätbank.

Innhåller i den här guiden kräver inte särskilda förkunskaper. Vi har ansträngt oss för att göra den så lättläst som det bara går. För den oinvigde kan it-säkerhet kän-nas som ett ogenomträngligt komplicerat ämne. I själva verket är det inte alls särskilt svårt att få en känsla för hur allt hänger ihop. Om du klarar av att slå på en dator, ge dig ut på webben och logga in på ett Face-book-konto bör du inte ha några som helst problem att ta dig igenom den här guiden. När du läst klart är vår förhoppning att du ska kunna ge dig ut på nätet trygg i vetska-pen om vilka faror som finns där ute, och hur man bäst skyddar sig från att råka illa ut. Med ett par enkla handgrepp går det att göra sig immun mot de vanligast förekom-mande hoten, och som i de allra flesta sam-manhang räcker en skopa eftertänksamhet och sunt förnuft långt.

Daniel Goldberg och Linus LarssonStockholm, September 2013

6

kapitel 1: inledning

01 Inledning

De kommande 67 sidorna är uppdelade i sammanlagt tio olika kapitel. I vart och ett av dem går vi igenom ett särskilt ämnesområde och ger handfasta tips på smarta tillvägagångssätt. Är du intres-serad av något särskilt så bläddra gärna direkt till det kapitel som passar bäst, men för dig som vill ha en grundläggan-de teknisk genomgång rekommenderar vi att börja med kapitel 2 och kapitel 3. I dem förklarar vi några vanligt förekom-mande begrepp som även används sena-re i texten. I kapitel 10 ger vi dessutom tips på lämpliga frågor att ställa till det eller de företag du väljer att samarbeta med på nätet, något som blir allt vanli-gare i takt med att vi lägger vår e-post, vår kommunikation och våra filer i hän-derna på internetföretag som Google, Facebook och Microsoft.

Sist i guiden följer en ordlista, där vi förklarar vanligt förekommande termer och förkortningar. Använd den gärna

som en lathund, eller ta chansen att im-ponera på dina mer tekniskt kunniga vänner.

Vår ambition har varit att texten du håller i din hand ska vara lärorik, intres-sant och lättläst, men också betryggande. Visst finns det många fallgropar att vara vaksam på, och visst kan man aldrig lita hundraprocentigt på att en okänd angri-pare inte upptäckt nya svagheter att ut-nyttja för att komma åt ens hemligheter. Men det betyder inte att man ska sluta använda sig av datorer.

Nätet och den digitala tekniken för med sig fantastiska möjligheter för oss alla. Gi-vetvis ska man inte vara rädd för att dra nytta av dem. Det gäller bara att, precis som i vilket annat sammanhang som helst, göra sig medveten om riskerna och se till att skydda sig så gott det går.

7

kapitel 2: virus, trojaner och maskar

02 Virus, trojaner och maskar

Datorvirus har funnits i årtionden och är bland de mest mytomspunna företeel-serna i it-säkerhetsvärlden. I otaliga fil-mer och tv-serier har de framställts som datorvärldens monster, en slags ondsinta varelser som på egen hand kan sprida sig från dator till dator och ställa till problem. Som om de hade en egen vilja.

Verkligheten är, som så ofta, lite min-dre dramatisk. Men vad som stämmer är att datorvirus mycket riktigt kan ställa till med rejäl skada.

Först några ord för att undvika be-greppsförvirring. Ordet datorvirus an-vänds ofta, lite slarvigt, som benämning på alla typer av skadlig kod. Det är vanligt inte minst i tidningarnas rubriker. Men faktum är att verkliga virus har försvunnit nästan helt. Istället har andra, liknande typer tagit över, till exempel trojaner och maskar. Här ska vi gå igenom hur de skil-jer sig från varandra. Därför kommer vi att använda “skadlig kod” som sammanfat-

tande benämning, en översättning av de engelska begreppen “malware” och ”mali-cious code”.

2.1 Olika typer – samma syfteMan ska inte blanda ihop virus, trojaner och maskar som om de vore samma sak. Rent tekniskt skiljer de sig rejält från var-andra. De sprids på olika sätt och kräver olika mycket resurser att utveckla. Dä-remot har de mycket gemensamt. Alla utnyttjar de säkerhetshål i din dator för att lura sig in och ta kontroll över den. Väl inne försöker de ofta göra två saker: Utnyttja din dator för att sprida sig själva vidare till andra, eller utnyttja din dator för sina egna syften. Oftast handlar det i slutändan om att tjäna eller stjäla pengar. Senare i kapitlet går vi igenom hur det går till i närmare detalj.

Här följer kortfattade beskrivningar av de tre vanligaste typerna av skadlig kod: virus, trojaner och maskar.

8


2.2 VirusAtt datorvirus kallas som de gör är ingen slump. De beter sig nämligen på ett sätt som påminner om virus i naturen, trots att de är skapade av programmerare.

Datorvirus “infekterar” ett program ge-nom att hänga sig fast vid det, ungefär som naturens virus angriper ett djurs eller en människas kropp. När datorn är infekte-rad kan information på hårddisken rade-ras, avlyssnas eller ändras. Dessutom kan viruset utnyttja datorns beräkningskraft utan att användaren märker det. Många av de tidiga exemplen på virus tycktes vara skapade av personer som mest ville visa upp hur skickliga programmerare de var. Därför gjorde vissa av dem ingen skada på den infekterade datorn. Sådana virus har dock blivit mindre vanliga med tiden.

Verkliga virus är mycket komplicerade att programmera ihop. Dessutom har antivirusprogrammen blivit skickligare på att upptäcka dem. Det har fått kriminella att överge virus till förmån för de andra typerna av skadlig kod, framförallt troja-ner och maskar.

2.3 Trojaner Trojaner har fått sitt namn efter legenden om den trojanska hästen. Där gömde sig grekerna inne i en trähäst för att lura sig

in i staden Troja. Trojanen lurar sig in på datorn på ett liknande sätt, ofta dolda i ett annat program eller i en fil.

Till skillnad från virus, som infekterar vanliga program, kan trojanen existera helt för sig själv. Men det som har fått kri-minella att välja trojaner framför virus är framförallt en sak: De är enklare att pro-grammera och väl så effektiva.

När en trojan har fått fäste på ens dator kan den användas för en hel del. Till ex-empel kan den avlyssna det du skriver på tangentbordet för att komma över dina lösenord, kontokortsnummer eller an-nan känslig information. Informationen som snappas upp kan skickas vidare till personen som styr trojanen – helt utan att du märker det.

En annan vanlig funktion är att en in-fekterad dator kan kapas och fjärrstyras. Det kallas ofta att den ingår i ett botnät (där bot är en förkortning av robot), det vill säga ett stort nätverk av kapade da-torer som kontrolleras av en person eller grupp. Ett omfattande botnät är värt stora pengar. Det kan exempelvis användas för att skicka ut gigantiska mängder oönskad reklam, bedrägeriförsök via e-post, eller rikta överbelastningsattacker mot webb-platser. En sådan går ut på att mängder med infekterade datorer på kommando

9

börjar skicka skräpinformation mot en webbplats, tills den inte klarar av mer och slutar fungera. Tänk själv vilken makt det skulle innebära om man kunde få tiotu-sentals datorer att utföra nästan vilken handling som helst på kommando.

Trojaner brukar ha fantasifulla namn och benämningar, Haxdoor eller Zeus för att ta två vanliga exempel. Namnen har antingen bestämts av trojanens skapare, eller kommer från antivirusföretaget som upptäckte dem.

2.4 MaskarTill skillnad från virus är maskar fristående program som inte behöver infektera en viss fil för att infektera en dator. Namnet kom-mer från dess förmåga att sprida sig själv – man brukar säga att masken kryper sig fram mot nya datorer att ta kontroll över.

Olika maskar tar sig fram på olika sätt. Vissa kan kopiera sig över ett nätverk, andra lägger sig på usb-minnen som flyttas mellan datorer och en tredje typ sprider sig genom att själv börja skicka e-postmeddelanden från den dator den har tagit över.

När en mask har infekterat en dator kan den göra ungefär samma skada som en trojan. Men genom åren har det också dykt upp maskar utan tydligt syfte – allt de verkar göra är att sprida sig vidare och

ta över fler datorer. Ändå har de ställt till rejäl skada eftersom de sprider sig med sådan fart att de tynger nätverk och över-belastar e-postservrar.

2.5 Vad kan de ställa till med?En dator som har infekterats av en trojan, en mask eller ett virus fortsätter ofta fung-era som om ingenting hade hänt. Möjligt-vis går den lite långsammare än tidigare eftersom datorns prestanda och uppkopp-ling till nätet används till annat än vad du sysslar med. Så vad är då problemet?

En hel del, och inte bara för dig själv. Vi nämnde tidigare att tangentbordet kan avlyssnas. Det är något av en standard-funktion i moderna trojaner, och den kan anpassas för speciella syften. Till exempel kan den reagera när du får upp ett inlogg-ningsformulär på skärmen. När du knap-par in användarnamn och lösenord snap-pas de upp och skickas vidare till den som kontrollerar trojanen.

Mest eftertraktade är de lösenord som angriparen kan använda för att tjäna pengar, till exempel inloggning på konton som Paypal eller andra som är kopplade till ett kontokort. Även internetbanker har drabbats av den här typen av inloggning, framförallt på den tiden då engångskoder på plastbrickor (så kallade skrapkoder) an-


10

vändes för att logga in. I dag har bankerna börjat ta säkerheten på större allvar och det krävs mer avancerade trojaner för att stjäla pengar. Se kapitel 7: "Så skyddar du dina pengar", för en närmare beskrivning.

Men datorer som har kapats med troja-ner används inte bara för att komma över ägarens konton och känsliga information. En angripare kan också vilja utnyttja din dator för helt andra syften. Ett är utskick av skräppost. Sådana utskick förenklas med tillgång till ett par tusen (eller ännu fler) kapade datorer, eftersom källan blir svårare att spåra.

Om du skulle drabbas av en trojan är det möjligt att du inte ens själv märker det. Men i bakgrunden pågår handlingar som du troligtvis inte vill ha något att göra med.

2.6 Hur blir du infekterad?För att smyga in en trojan eller mask på din dator måste angriparen ta till speci-ella metoder. De kan se mycket olika ut, men har alla en sak gemensam: Antingen lurar de din dator eller så lurar de dig. Att lura din dator innebär att angriparen känner till en säkerhetslucka i till exem-pel Windows som hen kan utnyttja. Att lura dig är precis vad det låter som. Det kallas social ingenjörskonst och är minst lika effektivt.

2.7 Social ingenjörskonstNär du sitter vid din dator, inloggad med rätt lösenord och därmed med full till-gång till alla funktioner kan du själv ställa till en hel del skada. I sig är det helt i sin ordning – du ska ju kunna radera filer, installera program och till och med fjärr-styra din egen dator.

Men det för också med sig en fara. Om en angripare kan lura dig att utföra en handling är det som om hen satt vid tang-entbordet själv. Många har begripit att det är enklare att lura personen vid datorn än att hacka själva datorn.

E-postmeddelanden med falsk avsän-dare är en variant av social ingenjörskonst. Ibland är de utformade för att se ut att ha en bank som avsändare. Andra gånger an-vänder de formuleringar som angriparen förstår att mottagaren kommer att ha svårt att motstå.

2.8 SäkerhetsluckorÄven om social ingenjörskonst är effektiv så utnyttjar bedragare också rent tekniska svagheter i program och operativsystem för att plantera trojaner och föra in mas-kar. Inför sådana hot vilar det största an-svaret på företagen som utvecklar opera-tivsystemen och programmen. Men som vanlig användare finns det ett par nöd-


11

Överkurs!E-postmasken som blev filmEtt tidigt exempel är e-postmasken ILOVEY-OU (ibland kallat Love Letter) som började sprida sig på nätet år 2000. Det spreds genom ett mejl med ämnesraden “ILOVEYOU” och en bifogad fil som såg ut att vara ett kärleks-brev. Men när man klickade på filen installe-rade man istället den skadliga koden. Därefter plockade masken fram ens kontaktlista i e-postprogrammet och skickade sig själv vidare till de 50 första adresserna. Med andra ord spreds ILOVEYOU från vän till vän. Inte kon-stigt att många gick på bluffen – det såg ju ut att vara ett kärleksbrev från någon de kände. Tiotals miljoner datorer infekterades innan masken kunde stoppas.

Exemplet är gammalt, men bedragare an-vänder fortfarande metoder som bygger på samma princip: Locka med någonting motta-garen har svårt att stå emot (sex eller pengar, ofta i form av lotterivinster är två favoriter) och lägg till en uppmaning att klicka på en fil eller besöka en webbadress.

Just masken ILOVEYOU har gått till histo-rien även av andra anledningar. År 2011 förevi-gades historien om den i den romantiska thril-lern “Subject: I love you”.

E-post är inte det enda sättet att sprida skadlig kod. Samma trick har börjat använ-das på sociala medier i takt med att använ-darna har flyttat dit. Förbluffande ofta an-vänder angriparna till och med telefonen. En bedrägerimetod går ut på att någon ringer upp och utger sig för att vara supportper-sonal, ofta från Microsoft. Därefter lotsas användaren genom åtgärder på datorn som i själva verket innebär att hen lämnar ifrån sig känslig information som inloggnings- och bankuppgifter.

Det är svårt att helt skydda sig från social ingenjörskonst. Då och då måste man trots allt lita på en avsändare. Men du kommer en bit på vägen med två grundregler.

→ För det första – om det låter för bra för att vara sant så är det förmodligen så. Nej, du har inte vunnit stora pengar på ett lotteri du inte har deltagit i. → För det andra – seriösa företag använder aldrig e-post för att sprida uppdateringar till din dator. Dubbelkolla med källan, läs på den officiella hemsidan eller ring och fråga om du är osäker. Du kan också an-vända Google för att söka på formulering-ar i ett mejl. Ofta har någon annan redan skrivit om bluffen.


12

vändiga åtgärder som man måste vidta.Följande tre råd är en bra grund för var-

daglig it-säkerhet. De kommer ursprung-ligen från Brian Krebs som är en välkänd skribent inom it-säkerhet.

2.9 Om du inte letade efter ett program, installera det inteSurfar du runt på måfå och plötsligt får upp ett fönster som uppmanar dig att rensa din dator? Kanske ett fejkat meddelande om att du har fått virus som måste tas bort? Eller löften om bättre kvalitet på strömmad film?

I sådana lägen ska man direkt stänga fönstret utan att installera något pro-gram. Med stor sannolikhet rör det sig om en ren bluff. Programmet kommer inte utföra vad det utlovar. Det kommer kan-ske kräva dig på pengar och kan mycket väl installera skadlig kod på din dator, just det som programmet lovar att rensa bort.

Så tänk efter innan du installerar ett program: Letade jag efter just det här? Om inte, hur gick det till när det hamnade på min skärm?

2.10 Om du har installerat det, uppdatera detNya säkerhetshål upptäcks hela tiden. Det gäller både operativsystem som Windows eller Mac OS och enskilda program. Det

har mjukvaruföretagen insett och därför skickar de regelbundet ut uppdateringar som täpper till luckorna, förhoppningsvis innan kriminella kan utnyttja dem.

Sådana uppdateringar är gratis och ska installeras så snart de finns tillgäng-liga. Visst kan det kännas tröttsamt med ständiga meddelanden om uppdateringar, men se till att omedelbart installera åt-minstone de som handlar om säkerhet. Det finns gott om exempel på vad som kan hända annars. För några år sedan var pdf-filer bland de mest populära för att infektera datorer med trojaner. Det kunde ske på grund av ett säkerhetshål i Adobe Reader, programmet som många använder för att läsa pdf-filerna. Adobe fick kritik för att företaget dröjde med att släppa lagningar, men även när de fanns tillgängliga så kunde attackerna fortsätta eftersom inte alla uppdaterade.

I dag har de flesta program funktioner som automatiskt kontrollerar om det finns uppdateringar tillgängliga. Se till att aktivera den!

2.11 Om du inte behöver programmet, avinstallera detVarje installerat program är en potentiell genväg in till din dator. Ju färre program du har installerade desto svårare blir det


13

2.12 Hur upptäcker man att man är infekterad?Skapare av trojaner och maskar lägger ner ofantliga resurser på att hålla sina program osynliga efter att de har infek-terat en dator. Därför är det mycket svårt att upptäcka dem på egen hand som van-lig användare.

Det är här antivirusprogram kommer in i bilden. De använder ett par metoder för att upptäcka skadlig kod. Dels inne-håller de en lista med “signaturer”, som kan liknas vid den skadliga kodens fing-eravtryck. Genom att jämföra datorns fi-ler med signaturerna kan man upptäcka skadlig kod, och förhoppningsvis ta bort den. Dessutom spanar den efter program som beter sig märkligt i största allmän-het, eftersom det kan vara ett tecken på infektion.

Förutom att granska filer på hårddis-ken brukar antivirusprogrammen block-era falska webbsidor som försöker stjäla dina uppgifter och kontrollera inkom-mande e-post. Därför marknadsförs de inte alltid som antivirusprogram utan som heltäckande säkerhetsprogram. Men inte desto mindre är ett av deras vik-tigaste syften fortfarande att upptäcka och ta bort skadlig kod.

Tips!Antivirus för Mac?De flesta antivirusprogram riktar sig till Windows-användare, eftersom majoriteten av all skadlig kod angriper just Windows. Men även om Mac-använ-dare fortfarande är tryggare så har ett antal hot även mot Mac dykt upp på senare år, och det finns sä-kerhetsprogram med antivirusfunktioner att tillgå även där. Tänk på att även om du som använder Mac inte smittas av skadlig kod skriven för Windows, så kan du av misstag föra smittan vidare till pc-använ-dare genom att vidarebefordra e-post med skadliga filer, bedrägliga webbadresser och så vidare.

att ta sig in. Gör det därför till en vana att ta bort program som du bestämmer dig för att du inte behöver. Som en bonus sparar du därmed på hårddiskutrymme. Tänk på att principen inte bara ska gälla vanliga program, utan också instickspro-gram (“plugins” eller “extensions” som de kallas på engelska) i webbläsare.


14

Varning!”Antivirus håller mig säker mot allt!”

→ Det finns inget hundraprocentigt skydd mot skadlig kod, inte ens för den som köper dyra sä-kerhetsprogram och betalar för regelbundna upp-dateringar.

→ Ny skadlig kod kan spridas på nätet och ställa till med skada innan de identifieras av säkerhetsföre-tagen och programmen lär sig känna igen dem. Om du hör till de första att bli infekterad av ny skadlig kod finns det därför risk att din dator skadas. → Därför gäller det att vara försiktig med att ladda hem program och klicka på bifogade filer eller län-kar i e-post om du inte är helt säker på att de kom-mer från en trygg avsändare. I kombination med antivirus kommer sådan försiktighet räcka långt för att hålla datorn fri från infektioner.

2.13 Uppdatera, uppdatera, uppdateraEftersom ny skadlig kod upptäcks hela tiden är det viktigt att antivirusprogram-met hålls uppdaterat. I regel säljs de med en prenumeration för nya signaturfiler. Genom att regelbundet ladda hem nya lär sig programmet vad det ska leta ef-ter. När programmet är inställt att hämta nya filer behöver du inte tänka mer på det, uppdateringen sker i regel automa-tiskt i bakgrunden.

En rad företag säljer antiviruspro-gram. Symantec, McAfee, Kaspersky, F-Secure och Sophos är några av de mest kända. De varierar både i pris och funk-tioner, så vilket som passar dig bäst är svårt att säga. Många finns i en gratis testversion som kan laddas hem och an-vändas under en kortare tid. Testa dig gärna fram! Utöver detta så har de se-naste versionerna av Windows och Mac OS X säkerhetsfunktioner som du bör ha aktiverade.


15

kapitel 3: nätfiske och den okända avsändaren

03 Nätfiske och den okända avsändaren

En av de vanligaste metoderna för att kom-ma över känslig information på nätet och sprida skadlig kod, trojaner och virus är med hjälp av det som kallas för “phishing”. Ordet är en omskrivning för “fishing”, och brukar översättas till nätfiske på svenska. I korthet går det ut på att en angripare

lurar dig att lämna ifrån dig känslig in-formation genom att låtsas vara någon annan. I det här kapitlet går vi igenom de vanligaste formerna av nätfiske, och för-klarar hur du skyddar dig.

Ibland kan nätfisket vara lätt att genom-skåda: Alla nätsurfare är bekanta med de

Falsk e-post som ser ut att komma från din bank eller ditt kreditkortsföretag är en vanlig form av nätfiske.

16

enorma mängder skräppost som landar i våra e-postlådor varje dag. Ibland är det en påstådd släkting i ett avlägset land som lovar att överlämna ett bortglömt arv om du bara skickar över en liten ad-ministrationsavgift. Ibland är det en på-stådd vinst i en tävling, där värdefulla prylar blir dina om du bara uppger dina bankuppgifter för avsändaren.

De flesta har lärt sig att genomskåda sådana enkla bluffar och snabbt förpassa dem till papperskorgen. De flesta mejl-program har dessutom inbyggda filter för att automatiskt sortera bort oönskad skräppost.

På senare år har dock många nätfis-kare blivit mer sofistikerade. Framförallt de phishing-mejl som försöker komma över inloggningsuppgifter till banker har blivit svårare att skilja från äkta vara. Ge-nom att använda logotyper, text och bil-der stulna från bankens verkliga webb-plats går det att få till mejl som ser ut att vara äkta. Inte sällan ber avsändaren dig logga in för att bekräfta exempelvis din adress, eller installera en säkerhetsupp-datering. I själva verket smusslas dina inloggningsuppgifter undan och används sedan av angriparen för att länsa ditt kon-to (se kapitel 7: ”Så skyddar du dina peng-ar”, för mer om detta). Regeln här är att

din bank aldrig någonsin mejlar och ber om dina inloggningsuppgifter eller att du ska logga in på en sida för att kolla att dina uppgifter stämmer.

3.1 Din vän kan vara vem som helst Att många försök till nätfiske är enkla att genomskåda beror på att avsändarna siktar brett. De flesta skräppostare skick-ar ut sina mejl till flera miljoner mot-tagare, ofta på flera språk och i många olika länder. Strategin ger dem väldigt lite utrymme att anpassa utskicken till just dig. Det tvingar dem att formulera sig brett och opersonligt i sina texter, och det gör det lättare för e-postprogrammens automatiska filter att identifiera skräp-posten och omedelbart förpassa den till papperskorgen.

Givetvis är det en svaghet som listiga angripare lärt sig utnyttja. Det kanske bästa sättet att göra nätfiske mer effektivt är nämligen, något paradoxalt, att be-gränsa antalet mottagare. Om en angri-pare bara väljer ut svenskar kan hen kon-centrera sig på att förbättra språkbruket, exempelvis. Genom att bara välja kunder till ett visst företag, eller boende i ett visst område, går det att bättra på trovärdig-heten ytterligare genom att strössla tex-ten med bekanta detaljer och referenser.


17

Checklista!Tre anledningar att bli misstänksam De flesta phishingmejl är lätta att avslöja. Här är tre saker att vara uppmärksam på när du försöker avgöra om avsändaren är den hen utger sig för att vara.

1. StavfelNätfiskare behöver inte vara svenskar även om de försöker lura svenska användare. Ofta översätts textinnehållet i mejlen automa-tiskt med hjälp av verktyg på nätet. Var där-för uppmärksam på märkliga formuleringar, rena stavfel och underliga ordval. Brukar din bank inleda mejl till dig med “Käre herre/fru”? Brukar din mobiloperatör inleda på-minnelser om obetalda fakturor med orden “Fel bill”, en misslyckad översättning av det engelska ordet för räkning? Båda är exempel ur verkligheten, och lätta att genomskåda för den som läser noga

2. Varifrån kommer mejlet?Ett enkelt sätt att avgöra ett mejls äkthet är att kika närmare på avsändaren. Intill eller strax under namnet (beroende på vilket mejl-program du använder), ser du mejladressen

i sin helhet. Titta noga på e-postdomänen, det vill säga vad som står efter “@” i adressen. Ett mejl från Telia bör rimligen komma från telia.com eller telia.se, inte från exempelvis [email protected]. Även det är ett exempel från verkligheten, och ett tydligt tecken på att något inte står rätt till. Men även om adressen stämmer ska du inte kän-na dig helt säker, det går faktiskt att fejka en riktig avsändaradress.

3. Vart leder länkarna?De flesta nätfiskare försöker få dig att klicka på en länk i mejlet, antingen för att skicka dig vidare till en falsk inloggningssida eller för att installera skadlig kod på din dator. Undersök därför länkarna lite extra innan du klickar. I de flesta mejlklienter kan du enkelt förhandsgranska länkar genom att hålla muspekaren över dem. I fönstrets botten, eller intill muspekaren, visas då destinationsadressen. För att återgå till ex-emplet ovan: I ett mejl från Telia bör län-karna rimligen leda till telia.se- eller telia.com-adresser. Inte, som i detta fall, till en suspekt tysk shoppingsajt. Tyvärr har banker och e-handelssajter ofta långa och komplicerade adresser till specifika sidor och tjänster så här gäller det att vara extra uppmärksam.


18

Genom att gå ännu ett steg längre, och fokusera utskicket på just dig, kan en skicklig nätfiskare göra bluffen nästan omöjlig att upptäcka. Det kallas för “spear fishing”, spjutfiske på svenska, och syftar på nätfiske där måltavlan har krympts ned till att omfatta en enskild individ, eller en mycket liten grupp av mottagare.

Ett välkänt exempel inträffade år 2011, och fick minst sagt ödesdigra konsekven-ser. Någon skickade då ett mejl till en handfull anställda på säkerhetsföretaget RSA, med det bifogade exceldokumentet “2011 recruitment plan.xls”. Mottagarna valdes noggrant ut av angriparen – de var just sådana som skulle beröras av en rekryteringsplan. En av dem gick på bluffen och öppnade den bifogade filen. I exceldokumentet gömde sig ett stycke skadlig kod, som snabbt tog kontroll över den anställdes dator och letade sig vidare på företagsnätverket. Måltavlan var RSA:s mest känsliga företagshemlig-het, krypteringstekniken SecurID, som används av mängder av företag för två-faktorsautentisering (läs mer om den tekniken i kapitel 5: ”Lösenord och två-faktorsinloggning”). Angreppet lycka-des, och årets största säkerhetsskandal var ett faktum. Allt tack vare ett oanse-ligt nätfiskemejl.

3.2 Att fejka en avsändare är ingen konstMetoden som användes för att komma åt säkerhetsföretaget RSA:s hemligheter kan enkelt anpassas även mot privatpersoner. I regel är folk mer benägna att klicka på länkar eller lämna över viktig information till personer de känner och litar på. Det är inte så konstigt – men hur vet du att vännen som mejlar, eller pratar med dig på Facebook, verkligen är den hen utger sig för att vara?

Det finns inga inbyggda spärrar på inter-net som förbjuder oss att registrera exem-pelvis e-postadresser i falskt namn, så länge just den adressen inte är upptagen. Dess-utom finns verktyg på nätet som låter en angripare fejka en avsändaradress utan att ens registrera den på riktigt. Hösten 2012 roade sig exempelvis en skämtsam hackare med att skicka tramsigt skrivna mejl från adressen “[email protected]” till journalister. För den som inte noterade stavningen i förnamnet (Sverigedemokraternas partiledare skriver Jimmie, inte Jimmy) var bluffen svår att ge-nomskåda. I det fallet var avsikten bara att roa, men samma metod kan användas även för att sprida trojaner och maskar. Fråga dig själv: Hur noga tänker du efter innan du laddar ned en fil eller klickar på en länk som skickats till dig av en vän?


19

Överkurs! ”Ingen klickar väl på spam?”Det kan tyckas märkligt att skräpposten fortsätter att flöda in i våra e-postlådor år efter år. Ingen kan väl vara så dum att den klickar på vad som i de flesta fall så uppen-bart är försök till bedrägeri? Faktum är att nätfiske är ett mycket effektivt verktyg för att sprida skadlig kod och lura av nätsurfare känslig information.

År 2009 genomförde företaget Trusteer en undersökning där mer än tre miljoner nätanvändares beteende analyserades un-der en tremånadersperiod. Resultatet visade att ungefär en procent av alla amerikanska bankkunder luras att klicka på en länk i ett nätfiskemejl, som utgett sig för att komma från deras bank, under varje enskilt år. Av dem fyller nästan hälften i sina inloggnings-uppgifter på sidan de sen skickas vidare till.

En av hundra kanske inte låter mycket, och mycket riktigt är träffgraden på ett en-

skilt skräppostutskick låg. Men med tanke på de enorma volymer som skickas ut räcker den ändå långt. Erfarna spammare jobbar nämligen enligt hagelbösseprincipen, och siktar så brett det bara går och hoppas att tillräckligt många går på bluffen.

En titt på siffrorna räcker för att bekräfta den bilden. En vanlig dag skickas som regel tiotals miljarder skräppostmeddelanden. Inte sällan utgör den mer än två tredjede-lar av all e-posttrafik som flödar över nätet. Världen över skickas det alltså dubbelt så mycket skräppost som “riktig” e-post. Det mesta är dåligt formulerade säljbrev för bil-lig Viagra och suspekta dejtingsajter, men även försök att komma över bankuppgifter eller annan känslig information är vanligt förekommande.

Enligt en undersökning gjord av säker-hetsföretaget Symantec var 0,35 procent av alla mejl som skickades i världen under juni 2011 utformade för att lura mottagaren att lämna ifrån sig ett lösenord, ett kontokorts-nummer eller någon annan form av känslig information.


20

Av samma anledning är inloggnings-uppgifter till konton på sociala medier, exempelvis Facebook eller Twitter, myck-et åtråvärda. Genom ett stulet Facebook-konto är det i många fall en barnlek att lura av andra känslig information – kan-ske pojk- eller flickvännen kan övertygas att knappa in sitt kontokortsnummer i chattfönstret för att lösa en akut situa-tion? Kanske kan bästa vännen övertygas att ladda ned ett roligt spel, som i själva verket innehåller en lömsk trojan? Blädd-ra till kapitel 5 för att läsa mer om detta.

Det bästa sättet att skydda sig från nät-fiske är alltså att så ofta det går kontrol-lera om avsändaren verkligen är den hen utger sig för att vara. Ett enkelt knep är att helt enkelt kontakta avsändaren via en e-postadress du har sedan tidigare, och be avsändaren bekräfta sin identitet. Vill du vara extra säker så ställ en kon-trollfråga som bara avsändaren kan svara på. Kanske minns din vän någonting som

hände i er barndom? Kanske kan dina föräldrar svara på någonting som är väl-känt i familjen, men inte för andra?

För den verkligt försiktige finns ännu en åtgärd att ta till: Lyft telefonen och ring upp! Då kan du helt enkelt fråga avsända-ren om hen verkligen skickat just det där misstänkta meddelandet till dig eller ej.


21

kapitel 4: trådlösa nätverk

04 Trådlösa nätverk

Trådlösa nätverk i hemmen har varit en självklarhet i många år. Inte minst gick fler över till trådlöst när bredbandsope-ratörer för några år sedan började skicka ut utrustningen som krävs gratis till sina kunder. Att tekniken slog igenom var knappast förvånande. Det är mycket praktiskt att kunna flytta sig med en bär-bar dator från köket till vardagsrummet utan att krångla med nätverkskablar.

Men vad vissa glömmer är att det tråd-lösa nätverket inte bara fungerar inom hemmets väggar. Bor du i lägenhet ser du säkert grannarnas nätverk. Plocka med dig datorn ner på gatan och du kommer märka att både ditt eget nätverk och gran-narnas går att nå även där.

Det är alltså fullt möjligt för vem som helst att nå ditt nätverk och utnyttja det för sina egna syften, bara genom att vara i närheten av bostaden. Därför måste ditt trådlösa nätverk skyddas på ett annat sätt än ett som består av kablar.

4.1 När det går riktigt illa – därför ska du skydda ditt nätverkMan kan fråga sig varför man ska skydda sitt trådlösa hemmanätverk med lösen-ord och kryptering. Är det inte en trevlig gest att bjuda grannar och förbivand-rande på gratis uppkoppling? Jo, visst är det så. Men samtidigt är det förknippat med risker att låta vem som helst surfa via ens uppkoppling.

För att förstå varför måste man förstå grunderna i hur polisen arbetar för att utreda it-baserad brottslighet. När en misstänkt spåras på nätet börjar polisen ofta med en ip-adress som har fastnat i en loggfil någonstans. Det gäller oavsett om brottet är hot via e-post, dataintrång el-ler illegal fildelning. Om brottet bedöms allvarligt nog kan polisen sedan vända sig till internetoperatören och begära ut information om vem som använde ip-adressen vid tillfället då brottet begicks. När namn och adress har lämnats ut har

22

polisen allt som behövs för att genomföra en husrannsakan.

Ip-adressen säger alltså ingenting om vem som har utfört ett brott, bara vilken uppkoppling som användes. Men det är mot ägaren av uppkopplingen som en eventuell husrannsakan riktas, vilket kan vara nog så otrevligt även om det senare visar sig att innehavaren är helt oskyldig.

Scenariot är inte hypotetiskt, vilket ett antal boende i Dalarna blev varse en tidig vårmorgon 2012. Då slog polisen till mot flera bostäder i Ludvikatrakten. Personen de sökte misstänktes för ett allvarligt da-taintrång mot bland annat it-företaget Logicas servrar. Adresserna de slog till mot hade tagits fram genom spårning av ip-adresser. Polisen klampade in, beslag-tog mobiltelefoner, datorer och hårddis-kar. De boende tvingades sitta igenom förhör där de anklagades för allvarliga brott som kunde ge långa fängelsestraff.

Först senare framkom att de allihop var helt oskyldiga. De var vanliga dator-användare som surfade på nätet, skickade e-post och betalade sina räkningar via in-ternetbanker. Däremot hittade polisens tekniker något intressant när de tittade närmare på deras trådlösa nätverk. De hade hackats och använts av en främman-de person som bodde i närheten. Vid en

Tips!Frågor till din operatör

Ställ krav på din internetoperatör om en trådlös router ingår i abonnemanget. Här är tre frågor som du ska kräva svar på:

→ Är lösenordskrav och kryptering aktiverat från start? → Kan jag själv byta till ett eget lösenord? Be om hjälp om det är komplicerat! → Vilken typ av kryptering används?

husrannsakan hemma hos honom hittade man en förstärkningsantenn monterad på balkongen. Med hjälp av den kunde han nå trådlösa nätverk på långt håll – och mycket riktigt återfanns knäckta lösenord till grannarnas nätverk sparade på en av hårddiskarna i bostaden.

Därmed avfördes de oskyldiga gran-narna helt från förundersökningen, men några av dem har efteråt vittnat om hur


23

omskakande det var att få poliser instor-mande en tidig morgon utan att förstå vad som hade hänt.

4.2 Så skyddar du nätverketI huvudsak behövs två sorters skydd för trådlösa nätverk: Dels ska nätverket för-ses med lösenord och dels ska det kryp-teras (läs mer om kryptering i Kapitel 6: ”E-post är som vykort”). Lösenordet stop-par obehöriga från att ansluta sig. Krypte-ringen hindrar dem från att avlyssna din surfning. Som tur är löser man både och med en enda inställning.

Så varför behövs kryptering för att nät-verket inte ska avlyssnas? Egentligen räcker det att tänka på hur trådlösa nätverk egent-ligen fungerar. När du surfar utan sladd flyger ju all information mellan din dator och routern genom luften. Det betyder att någon annan kan snappa upp den på vägen, till och med utanför ditt hem. Innehållet på hemsidor, text du själv skriver in, filer som laddas upp och ned. Samt – och detta är kanske det värsta – en hel del lösenord till sajter på nätet.

Alla moderna trådlösa routrar har i dag stöd för kryptering som duger gott för

Så här ser inloggningen till ett nätverk som skyddas med WPA2-kryptering ut på en Mac.

Och så här ser inloggningen till ett nätverk som skyddas med WPA2-kryptering ut på en PC.


24

Det finns flera olika säkerhetsstandarder för trådlösa nätverk. Alla gör de ungefär samma sak – de krypterar trafiken för att göra den oläslig för utomstående – men med olika re-sultat. Här är de vanligaste typerna:

1. WEP – gammalt och dåligtWEP är en gammal form av säkerhet för trådlösa nätverk som togs fram redan på 1990-talet. Även om din router fortfarande har stöd för WEP så ska det undvikas. För det ska sägas rakt ut: WEP erbjuder mycket

hemmabruk. Exakt hur inställningarna görs beror på vilken routermodell du har. Men i grunden är det okomplicerat: Välj krypteringsmetod, ange ett lösenord och du är igång.

Det finns dock ett par fallgropar att und-vika. Framförallt ska man akta sig för äldre typer av kryptering. Vilken typ av krypte-

svag säkerhet och ska aldrig användas. Fak-tum är att det kan knäckas på några sekunder.

2. WPA – efterföljarenBland inställningarna kan du hitta möjlighe-ten att välja WPA, en standard som följde efter WEP. Undvik även denna, eftersom den har fasats ut till förmån för efterföljaren WPA2.

3. WPA2 – bäst hittillsSedan flera år ska alla trådlösa routrar ha stöd för denna modernare säkerhetsfunktion. Det är denna du ska välja, om den inte är förvald redan när du plockar upp routern ur kar-tongen. I routrar för hemmabruk kallas den ibland WPA2 Personal eller WPA2-PSK.

Viktigt!Välj rätt säkerhet för din router


ring som används kan du se genom att log-ga in på routern, men ofta kan man också se det när man ansluter sig till nätverket.

4.3 Publika nätverk – hemligheter hör inte hemma på kaféetAllt fler kaféer och hotell erbjuder trådlö-sa nätverk till sina kunder. Ibland skyddas

25

Varning!Se upp med lösenordet!I alla sammanhang där kryptering används gäller en regel: Det spelar ingen roll hur bra säkerhetsmekanismer du har aktiverat om du inte väljer ett starkt lösenord. Många routrar levereras med ett förinställt lösenord. Det är en bra idé att byta det mot ett eget som är långt och därmed svårt att knäcka. Se kapitel 5 för tips om bra lösenord!

dessa av lösenord, men ibland är de helt öppna. Som användare är det praktiskt – bara att ansluta och sätta igång att surfa. Men man ska komma ihåg att ens infor-mation då kommer flyga genom luften, ofta helt okrypterad och därmed möjlig att avlyssna.

Det finns till och med särskilda program som används för att snappa upp männis-kors lösenord från sådana nätverk. De är förbluffande effektiva och kan enkelt an-vändas av vem som helst som är i närheten av kaféet eller hotellet.

Därför är det en god idé att vara mer försiktig när man surfar från ett kafé. Visst är det okej att kolla nyhetssidor, men om du hanterar något mer känsligt bör du vidta vissa åtgärder.

För det första: Kontrollera om adressen i din webbläsare börjar på “https” istället för “http”. Det betyder att anslutningen är krypterad och svårare att avlyssna.


4.4 Proffskryptering med VPNVill du vara riktigt säker på att ingen av-lyssnar dig när du använder ett publikt nätverk så är det enda alternativet att kryptera allt du gör. Det enklaste sättet att lösa det är med tekniken VPN, som står för virtual private network – virtuellt privat nätverk.

Att använda VPN innebär att din upp-koppling mot en sajt, till exempel Gmail.com, inte går direkt från dig till Gmail. Is-tället går allt ditt surfande via en speciell server som du ansluter till med stark kryp-tering. Rent tekniskt använder du därför det lokala nätverket bara för att ansluta till en enda server: VPN-tjänstens server – och tack vare att anslutningen dit är krypterad så flyger ingen oskyddad information om-kring i luften på kaféet där du sitter. Tänk på att din uppkoppling bara skyddas fram till den vpn-server du använder. Därefter kan den röra sig på nätet helt okrypterad,

26

Viktigt!Lösenord – men ingen kryptering Vissa publika nätverk släpper in användaren utan lösenord men kräver inloggning (och ibland betalning) innan man kan besöka en webbplats eller hämta sin e-post. Detta är en annan sorts inloggning än den som beskrevs här ovan och innebär inte att nätverket är krypterat. Med andra ord: Betrakta dem som helt öppna och använd dem därefter.

Detta system används till exempel av Telias tjänst Homerun och SJ:s trådlösa nätverk ombord på tågen.

men här fokuserar vi på att undvika avlyss-ning på kaféets trådlösa nätverk.

VPN används av många företag vars anställda arbetar utanför kontoret. Men det kan också köpas som en tjänst av pri-vatpersoner för några tior i månaden. Det finns en mängd kommersiella tjänster att välja mellan. I grunden gör de alla samma sak, men hastigheten kan variera. Efter-som ditt surfande tar en omväg via en server så kan uppkopplingen bli långsam-mare. Därför är det värt att testa ett par tjänster och själv avgöra vilken som går snabbast för dig.

Tips!Använd (nästan) alltid httpsMånga webbplatser erbjuder möjlighet att köra krypterat över https, men har det inte aktiverat från början. Om du använder antingen Google Chrome eller Firefox som webbläsare så finns ett gratis in-sticksprogram som heter HTTPS Everywhere. Med det installerat kommer webbläsaren alltid välja htt-ps när det är möjligt.

Läs mer och ladda hem: https://www.eff.org/https-everywhere


https://www.eff.org/https-everywhere%20

27

kapitel 5: lösenord och tvåfaktorsinloggning

05 Lösenord och tvåfaktorsinloggning

Tänk att du ska logga in på alla sajter du någonsin har registrerat dig på. Hur många lösenord skulle du behöva kom-ma ihåg? Fem? Tio? Hundra?

Lösenordet är fortfarande det i sär-klass vanligaste sättet att identifiera sig på internet. Ändå är så gott som alla sä-kerhetsexperter överens – lösenord är ingen bra lösning och borde ersättas så snart det bara går. Problemen med dem är många. Knappt någon kan komma ihåg alla sina lösenord. Gång på gång kommer hackare över stora databaser med vanliga människors lösenord och kan logga in på deras konton.

Vi ska snart komma in på vilka alter-nativ som finns, men det är lika bra att vi på en gång slår fast en sak: Lösen-orden kommer finnas kvar ett bra tag framöver. Därför är det viktigt att lära sig använda dem på rätt sätt. Vi börjar med själva ordet – hur ska ett bra lösen-ord se ut?

5.1 Att välja ett bra lösenordLösenord ska vara långa, svåra att gissa och innehålla mer än vanliga bokstäver. Låter det som ett recept för lösenord som ingen människa klarar av att komma ihåg? Jo, så kan det vara. Men det finns knep som gör det enklare. Här går vi ige-nom hur man kan välja ett lösenord som är svårare för en angripare att komma över. Se till att läsa guiden ända till slutet, för lösenordet vi börjar med är ett riktigt dåligt exempel.

Så här ser många lösenord ut, kanske speciellt för en hundintresserad: rottweiler.

Vad är då problemet? Vi börjar med längden. Ett vanligt råd är att lösenord ska vara minst åtta tecken långa. Det är en bra tumregel, men det finns egentligen ingen anledning att inte gå längre än så. Väljer du rätt så är det lika enkelt att komma ihåg ett lösenord som är femton tecken långt. Kom ihåg – ju fler bokstäver och andra tecken du väljer desto mindre är risken att någon

28

främmande kan komma in på ditt konto.Den andra regeln är att det ska vara

svårt att gissa. Här finns några regler som alla bör följa stenhårt: Ditt lösenord ska aldrig vara ett vanligt ord eller namn. Det största misstaget är att använda ett ord som är starkt förknippat med dig själv – namnet på ett husdjur eller en släkting, ditt eget efternamn eller liknande. Sådana är lätta att gissa sig till eller hitta på nätet. Kanske har du skrivit om ditt husdjur på Facebook eller bloggat om din familj? I så fall tar det inte många sekunder att identi-fiera ett par namn att prova som lösenord.

Med andra ord är rottweiler ett dåligt lö-senord, speciellt om du har pratat om ditt intresse för denna hundras på nätet. Även om du inte skulle ha gjort det så finns ordet i ordlistor, vilket förenklar gissningsarbe-tet avsevärt. (Varför ordlistor gör en attack enklare går vi igenom i nästa avsnitt.)

Ett sätt att både göra lösenordet längre och slippa problemet med ordlistor är att helt enkelt lägga till fler ord. Det behöver inte göra lösenordet mycket svårare att komma ihåg:

minhundrottweilern(Tänk “min hund rottweilern”, men ofta får lösenord inte innehålla mellanslag.) Vips så är vi uppe i 18 bokstäver, vilket är betydligt bättre.

Den tredje regeln gäller vilka bokstä-ver och tecken man använder. Här gäller samma princip – ju svårare det är att gissa desto säkrare är lösenordet. Fler sorters tecken betyder fler möjliga varianter av lösenordet och därmed ett klurigare giss-ningsarbete. Ett första steg är att blanda stora och små bokstäver. Det finns många sätt att göra det:

MinHundRottweilernMinHundROTTWEILERNminHUNDrottweilern

Till sist – ett starkt lösenord innehåller inte bara bokstäver, utan också siffror och specialtecken som till exempel €, # eller &. Visst är det bra att välja tecken el-ler siffror som är lättare att komma ihåg, men undvik de mest uppenbara som till exempel ditt födelseår.

Som vän av rottweilerhundar kanske man vet att den registrerades av den ame-rikanska kennelklubben år 1931.

minHUNDrottweilern1931… eller varför inte:

minHUND1931rottweilernAtt knäcka ett lösenord är aldrig helt omöj-ligt – men man kan göra det svårare för angriparen. Med ett lösenord av den här typen har du åtminstone inte gjort det onödigt enkelt, och dessutom slipper du ett obegripligt lösenord av typen 8F€€Fv0Z2”€.


29

Varning!Enkla knep kan genomskådas

Ett vanligt knep för de som vill göra lösenord svåra-re att genomskåda är att ta ett vanligt ord och byta ut bokstäver mot siffror som liknar dem. Telefon blir t3l3f0n och så vidare. Men eftersom knepet är välkänt kan angriparen ställa in sitt knäckningspro-gram för att testa dessa varianter.

Att göra varje begynnelsebokstav i lösenordet stor är lockande, eftersom det är enkelt system att memorera. Men av samma anledning är det enklare att gissa sig till. Försök hitta ett system som inte ge-nomskådas lika lätt.

Man talar ofta om att “gissa lösenor-det”. Visst kan det hända – det är därför man aldrig ska välja till exempel sitt barns namn som lösenord. Men oftast handlar det om två automatiska metoder: Dels en så kallad ordlisteattack och dels metoden brute force, vilket kan översättas till “rå-styrka” på svenska.

Du kanske har sett nyheter om att listor med lösenord har läckt från stora webb-platser. Ibland talas det om att lösenorden som har läckt är krypterade – och det kan ju låta tryggt. Det som är krypterat borde väl vara säkert?

Nej, faktiskt inte. För när angriparen väl har kommit över en läckt lösenordslista så kan hen använda speciella program för att gissa lösenord i blixtsnabbt tempo. Det kan liknas vid att försöka logga in flera miljarder gånger i sekunden, eller ännu oftare. Men de flesta sajter skulle stänga en angripare ute efter ett par misslyckade försök. För den som har kommit över lis-tan med krypterade lösenord finns inga sådana begränsningar.

Vi börjar med att förklara brute force-attacken. Principen är simpel: Gissa varje tänkbart lösenord. Säg att vi utgår från att lösenordet som ska knäckas är mellan tre och åtta tecken långt. Då kan den första gissningen vara “aaa” som följs av “aab”

Men varför behöver man krångla till det så här? För att begripa det måste man för-stå hur en attack går till.

5.2 Så knäcks ett lösenordVi har nu visat skillnaden mellan ett lätt-knäckt och ett svårknäckt lösenord. Men varför är skillnaden så stor? Förklaringen ligger i de två vanligaste metoderna som angripare kan använda.


30

och sedan “aac”. När alla kombinationer av tre bokstäver är testade är det bara att gå vidare till de med fyra bokstäver. Och så vidare. Som du förstår blir det en hel del gissningar, men en kraftfull dator kommer klara av alla möjliga kombina-tioner på några sekunder.

Men om angriparen inte bara behöver gissa mellan kombinationer av bokstä-ver, utan också vilka som ska vara ver-sala och vilka som ska vara gemena? Då blir alternativen fler – och därmed krävs fler gissningar. Detsamma sker när du lägger in specialtecken eller gör ditt lö-senord längre.

Ordlistan då? Att knäcka ett lösenord med hjälp av ordlista är den allra enklaste genvägen. När man ska knäcka ett lösen-ord testar man ofta först alla ord man har i en ordlista. De innehåller de vanliga ord, namn och annat som många väljer som lösenord. Det kan röra sig om hundratu-sentals exempel, men 100 000 gissningar är mycket litet i sammanhanget. En dator klarar det på bråkdelen av en sekund.

Kort sagt: Om du väljer ett vanligt ord kan du räkna med att lösenordet kan knäckas omedelbart. Låt oss ta några exempel:

→ fido: Ett riktigt dåligt lösenord. Kan mycket väl finnas i angriparens lö-

senordslista, och även om det inte gör det så knäcks det på bråkdelen av en se-kund. → rottweiler: Något bättre, eftersom det är längre. Men även detta finns i ordlistor. → minhundrottweilern: Redan här börjar det se riktigt bra ut. Förutsatt att an-griparen inte har några ledtrådar om lösenordets längd eller vad det består av så är lösenordet svårt att gissa sig till.

Men sådan tur har man inte alltid. Ju fler av råden som nämns här ovan desto säkrare blir ditt lösenord. Om du byter från minhundrottweilern till minHUN-D1931rottweilern så ökar antalet möjliga kombinationer ytterligare.

Att knäcka ett långt lösenord med en vanlig hemdator skulle ta flera miljoner år om angriparen skulle vara tvungen att testa alla tänkbara alternativ. I praktiken är det sällan så. Genom sofistikerade metoder, till exempel så kallade regnbågstabeller, kan antalet gissningar som behöver genom-föras sänkas dramatiskt. Därmed knäcks lösenordet snabbare – ännu ett gott skäl att använda ett långt och svårknäckt lösenord.

5.3 Samma lösenord överallt?Du har säkert konton på nätet som skulle kunna bli hackade utan att det gör speciellt


31

stor skada. Till exempel inloggningen till en filmtjänst – att ditt lösenord dit knäcks skulle bara innebära att någon kan se film på din bekostnad. Värre saker kan hända.

Många resonerar så och väljer därför samma lösenord på en mängd sajter. Vad de inte tänker på är att om lösenordet läcker från en av dessa sajter så kommer angriparen åt dem allihop. Det är näm-ligen enkelt att testa om lösenordet som visade sig fungera på en webbplats även gäller på en annan.

Värst är det om man har använt samma lösenord på “skräpsajter” och för konton som är viktiga – till exempel din e-post-adress. I samband med att lösenord läcker ut läcker ofta även e-postadressen efter-som den används som användaridentitet. Säg att det är en Gmail-adress. Då är det lätt för angriparen att gå till gmail.com och försöka logga in med lösenordet som redan är på villovägar.

Därför är det viktigt att inte använda samma lösenord och e-postadress över-allt. Börja med att identifiera dina vikti-gaste konton.

Din e-postadress hör till dem, inte minst eftersom den kan användas för att skapa nya lösenord på andra sajter. Det är ju dit mejlen kommer när du har glömt ett lösenord och ber att få ett nytt. Med an-

dra ord kan den som har tillgång till ditt e-postkonto snabbt ta kontroll över varenda konto du har på nätet.

För många har Facebook blivit lika vik-tigt som e-post, och den som använder Twitter flitigt bör ha ett unikt, starkt lö-senord även där. Hur listan över viktiga konton ser ut varierar från person till per-son. Vilket konto skulle det vara värst om någon utomstående tog över?

Här är det lätt att tänka “ingen bryr sig väl om mitt konto”? Men faktum är att just Facebookkonton är högvilt för bedragare, och det handlar inte om att de är nyfikna på dina meddelanden.

En vanlig bedrägerityp bygger nämli-gen på att en angripare tar över ditt Fa-cebookkonto. Med det under kontroll kan hen starta en chatt med en av dina vänner, där hen utger sig för att vara du. Historien bedragaren diktar upp brukar handla om att du är utomlands och har blivit av med plånboken. Därför ber bedragaren om ett snabbt lån, som ska betalas direkt till utlandet via till exempel Western Union. Men i själva verket är det bedragaren som plockar ut pengarna, allt på grund av att lösenordet till ditt Facebookkonto ham-nade på villovägar. När vännen väl upp-täcker att det inte var dig hen pratade med är det i regel för sent.


32

Med andra ord – undvik till varje pris att använda samma lösenord överallt. Kla-rar du inte av att ha ett lösenord för var-enda sajt du har registrerat dig på, ha åt-minstone unika på de viktigaste.

5.4 Programmen som hjälper digJu bättre du blir på att välja lösenord desto fler får du att hålla reda på. Det får många att snart falla tillbaka i att använda samma lösen överallt. Men det finns en rad pro-gram som kan hjälpa dig.

De kallas lösenordshanterare och byg-ger på en enkel princip: Hela din samling lösenord ligger sparade i en krypterad (och därmed oläslig) databas som skyddas med ett lösenord. Som du förstår är detta lö-senord det viktigaste du någonsin kommer välja – med hjälp av det får man ju tillgång till alla lösen du har sparade.

Ett lätt sätt att lösa problemet är att låta webbläsaren spara lösenord. Det förenklar inloggningen, men innebär också att alla som kommer åt din dator kan logga in lika enkelt. Det har till och med visat sig möjligt att plocka fram de sparade lösenorden ur webbläsaren, vilket kan kännas oroande.

Om du istället vill använda ett separat program för att hantera lösenord finns det många alternativ, varav några syns i listan här intill.

5.5 Två faktorer – framtidens inloggningSäkerhetsexperter har gång på gång dömt ut lösenorden som en förlegad sä-kerhetsmekanism. Men vad ska då an-vändas istället?

Syftet med en inloggning är att kon-trollera att bara rätt personer har åtkomst till informationen som söks, exempelvis den du har på ditt e-postkonto. För att få ett starkare skydd kan man komplettera användarnamn och lösenord med fler parametrar. Exempelvis någonting som berättar vem användaren är (fingerav-trycksläsning, röstanalys, ögonskanning) eller någonting som användaren har (ett smart kort eller en säkerhetsdosa).

Tanken är att lösenordet ska kunna hamna i händerna på en angripare utan att hen kan logga in på ditt konto. På samma sätt kan man tappa bort säker-hetsdosan utan att den som hittar den kan logga in.

Låter det märkligt? Förmodligen an-vänder du redan tvåfaktorsinloggning, till exempel för din internetbank. Där an-vänds ofta säkerhetsdosor med kort till-sammans med en kod eller ett lösenord.

Det är en utmärkt idé att skydda även ditt e-postkonto med denna metod. Många av de stora mejltjänsterna har redan stöd för det. Ofta behöver du inte ens en extra


33

Lösenordshanteraren 1Password kräver huvudlösenordet för att öppnas.

Tips!Välj lösenordshanterare nogaDet finns en uppsjö program som hjälper dig att hantera dina många lösenord. De flesta fungerar som krypterade databaser där du lagrar lösenorden. Tänk dock på att du verkligen måste kunna lita på den tjänst du väljer. Om möjligt – välj ett program med öppen källkod, så experter har möjlighet att granska den i jakt på säkerhetsluckor. Vissa program lagrar lösenorden på sina egna ser-vrar, eller "i molnet" som det ofta kallas. Här finns det anledning att vara skeptisk, efter-som du måste lita på att de skyddar sina ser-vrar tillräckligt noga. Oavsett vilket du väl-jer så finns det några saker du bör tänka på.

1. För det första är det bra om programmet finns till både Windows och Mac, och kanske Linux om det är något du över-väger. Skulle du byta dator så är det prak-tiskt att kunna ta lösenorden med dig, utan att behöva skriva av dem ett och ett.

2. För det andra fungerar många av dem också på mobiltelefoner. Så länge de säk-

ras med bra lösenord är det en utmärkt idé, eftersom du då kan plocka fram de lö-senord du behöver även när du inte sitter vid datorn, speciellt om du har sparat mer än bara lösenord till webbplatser. Många använder samma program för till exempel portkoder.

3. För det tredje – och detta är viktigast av allt – välj ett program som är betrott. Ladda bara hem det från den officiella webbplat-sen och sök gärna runt efter information om eventuella säkerhetsrisker.


34

säkerhetsdosa utan använder mobilen. När tekniken är aktiverad använder du en engångskod tillsammans med ditt van-liga lösenord för att logga in. Mejltjänsten skickar engångskoden till dig antingen i ett sms, eller via en särskild app.

Låter det krångligt? För att göra det enklare behöver du inte ange engångsko-den vid varje ny inloggning, om den sker från samma dator. Hur ofta du måste skriva in ett nytt engångslösenord varie-rar mellan tjänsterna.

Tvåfaktorsinloggning gör webb-mejl och andra tjänster betydligt säkrare att använda.


35

Tips!Mejltjänsterna med stöd för två-faktorsinloggning

GmailAktivera funktionen i dina kontoinställningar. Sedan ang-er du ditt telefonnummer för att få engångskoder skickade via sms, eller laddar hem appen Google Authenticator till An-droid eller Iphone.

Outlook (tidigare Hotmail)Även Microsoft har en speci-ell app för sin tvåfaktorsin-loggning.

Viktigt! “Skriv aldrig ner ditt lösenord”

Att skriva sitt lösenord på en papperslapp och gömma det under tangentbordet beskrivs ibland som ett klassiskt misstag. Där lär ju den som vill stjäla det leta allra först.

Visst är det ett dåligt gömställe, och program-men för lösenordshantering vi nämner här ovan är betydligt bättre alternativ.

Men faktum är att Bruce Schneier, en av värl-dens främsta säkerhetsexperter, argumenterar för att man visst kan skriva upp viktiga lösenord på en papperslapp och ha den i plånboken. Hans ar-gument bygger på två delar: Dels att starka lösen-ord i dag måste vara så starka att de blir närmast omöjliga att komma ihåg. Dels att vi är vana vid att hantera små papperslappar säkert i våra plån-böcker. Det är trots allt samma ställe som vi an-vänder för sedlar.


36

kapitel 6: e-post är som vykort

06 E-post är som vykort

E-post är kanske den mest fundamentala kommunikationsformen på nätet. Du skriver några rader, klickar “send” (skicka), och vips har ditt meddelande landat hos mottagaren. Blixtsnabbt och enkelt. Men säkert? Inte alls.

Att skicka ett mejl kan mest av allt liknas vid att skicka ett vykort – utan kuvert – på posten. Faktum är att vykort förmodligen är ett bättre val om du har hemligheter att för-medla i text, för de passerar betydligt färre snokande ögon än ett genomsnittligt mejl.

På väg till mottagaren studsar ett mejl via en mängd servrar anslutna till nätet. Vid varje enskild punkt är det en lätt match att läsa vad som står skrivet i det. Din e-postleverantör, din internet-leverantör och din arbetsgivare (om du använder företagsmejlen) kan alla enkelt ta del av de mejl du skickar. Likaså de per-soner som kontrollerar de övriga servrar mejlet passerar genom.

Det beror på att mejl skickas över nä-

tet i klartext – som bokstäver, siffror och andra tecken – och därmed kan läsas med blotta ögat var som helst längs vägen. I e-posttekniken finns inga inbyggda säker-hetsåtgärder som döljer det du skriver för andra än mottagaren. Ej heller några sätt för dig som avsändare att avgöra om, och i sådana fall vem, som tagit del av infor-mationen du skickat. En angripare som vill komma över just din kommunikation kan alltså ta hjälp av ett program för att spela in all trafik som rör sig in och ut från just din dator, för att sen i lugn och ro leta fram just de e-postmeddelanden som är intressanta.

Med andra ord är e-post i grunden otjänligt för den som är mån om att hålla hemligheter hemliga. Den som ändå vill mejla, men utan att nyfikna lägger näsan i blöt, måste ta saken i egna händer.

6.1 Kryptering – säkert men lite krångligtAtt kryptera ett meddelande innebär att kasta om bokstäverna i det så att ingen, förutom mottagaren, kan ta del av infor-mationen. I grund och botten fungerar det på samma sätt som barndomens le-kar med hemliga kodspråk: I Astrid Lind-grens böcker om mästerdetektiven Kalle Blomqvist pratar huvudpersonerna rö-varspråk med varandra, genom att lägga

37


Tips!Flera e-postkonton – en genväg till säkerhet

Ett enkelt säkerhetsknep är att använda olika e-postkonton för olika syften. Använd din or-dinarie för seriös kommunikation. Det är den adress du kan skriva på visitkort och lämna ut till bekanta som du ska kommunicera med. Skaffa ett gratis, extra konto hos Gmail, Hotmail, Yahoo eller liknande som du bara använder när du registrerar dig på sajter. Se det som ditt “skräpkonto”, speciellt för när du registrerar dig på mer “amatörmässiga” webbtjänster, där sä-kerheten kan misstänkas vara sämre.

Samma adress kan användas när du laddar hem program från nätet, vilket ibland kräver re-gistrering. Det är den extra adressen som du kommer använda för att få ut nya lösenord från webbplatserna du är registrerad på om du har glömt bort det. Därmed slipper du lämna ut din ordinarie e-postadress till höger och vänster. Det minskar mängden skräppost och innebär dessutom att din mejladress inte ligger lagrad tillsammans med lösenord.

Men kom ihåg – även om du använder ett skräpkonto ska du aldrig använda samma lösenord till din viktigaste e-postadress som du använder på andra webbplatser. Du ska inte heller ha samma lösenord till ditt ordinarie konto som till ditt skräpkonto.

in ett “o” efter varje konsonant och sen upprepa den igen. Ordet “rövarspråket” blir då till “rorövovarorsospoproråkoke-tot”. Tanken är att bara den som känner till metoden förstår vad som sägs.

Moderna krypteringsmetoder bygger på liknande principer, men är i praktiken

omöjliga att ta sig igenom utan rätt nyckel. Texten körs genom en algoritm, ungefär som ett matematiskt recept, som gör den oläslig. Bara den som känner till lösenor-det, dekrypteringsnyckeln, kan backa ban-det och göra den till klartext igen.

En av de mest spridda krypteringstekni-

38

kerna idag heter PGP, vilket står för Pretty Good Privacy. Den uppfanns redan år 1991 av programmeraren Phil Zimmerman. Företaget PGP ägs idag av antivirusjätten Symantec men standarden, som går un-der namnet OpenPGP, är öppen och fritt tillgänglig för vem som helst att utveckla produkter kring (se nedan).

PGP bygger på ett system där två nycklar är inblandade: en publik och en privat. Båda behövs för att kommunikationen ska funge-ra, men bara den ena behöver hållas hemlig.

För att skicka ett PGP-krypterat med-delande till någon behöver du först per-sonens publika nyckel. Denna är en serie till synes slumpmässigt utvalda tecken (se bild). Många som använder PGP publice-rar sina publika nycklar öppet, till exempel längst ned i sin mejlsignatur, eller under kontaktfliken på sin sajt eller blogg. Andra gör sin publika nyckel tillgänglig på en så kallad nyckelserver. Det är att likna vid en telefonbok, där mängder av nycklar finns listade efter vem de tillhör. På samma vis måste du ge din publika nyckel till någon för att den personen ska kunna mejla dig.

Om du vill vara absolut säker på att den person som kontaktar dig verkligen är den hen utger sig för att vara så bör du vara noga med hur du delar ut din publika nyckel. Att bara skicka över den i ett mejl

Som synes blir ett e-brev oläsligt för obehöriga sedan det krypterats.


39

anses inte vara tillförlitligt – en person som avlyssnar kommunikationen kan då skicka krypterade mejl till dig.

Förr i tiden ordnades såkallade PGP-signeringspartyn, där deltagarna utbytte nycklar med varandra och samtidigt legi-timerade sig med id-kort. På så sätt kunde alla vara säkra på att personen de pratade med verkligen var rätt. Om du vill vara ex-tra noga så kan du bete dig på ett liknan-de sätt – stäm helt enkelt träff med den du vill mejla säkert med, och lämna över nycklar öga mot öga.

Nästa steg är att skriva ditt meddelan-de i krypteringsprogrammet, för att sen kryptera det med mottagarens publika nyckel. Resultatet, ett sjok till synes oläs-lig text, klistrar du in i ett vanligt mejl och

skickar till din mottagare. Hen kan sedan dekryptera texten med sin hjälp av sin pri-vata nyckel.

Din privata nyckel sparas i regel som en fil på din dator. Du kan även exportera den i textform eller som en fil, för att lagra den på exempelvis ett USB-minne. För att komma åt den privata nyckeln används ett lösenord, som du matar in i krypteringsprogrammet.

PGP anses vara en mycket pålitlig kryp-teringsstandard. Så länge du väljer ett starkt lösenord till din privata nyckel (se kapitel 2: ”Lösenord och tvåfaktorsinlogg-ning” för mer om bra och dåliga lösenord) och ser till att hålla den hemlig kan du alltså vara trygg i att ingen tjuvlyssnar på ditt mejlande.

Men vad händer om en angripare listar

Exempel på en publik PGP-nyckel vilken används som signatur i e-post.


40

ut mitt lösenord? Då är det givetvis fritt fram för personen, förutsatt att hen ock-så har tillgång till datorn där din privata nyckel finns lagrad, att läsa all din kryp-terade e-post. Men så länge du valt ett ordentligt starkt lösenord är det mycket osannolikt att så sker.

6.2 Tre enkla krypteringsverktyg Det finns en uppsjö program på nätet som hjälper dig att komma igång med krypte-ring snabbt och enkelt. Här är tre alterna-tiv som är värda att titta närmare på.

säkrare webbmejl med mailvelopeMailvelope är ett enkelt insticksprogram för dig som använder webbmejl som Gmail eller Outlook.com. Med det instal-lerat krävs bara ett par knapptryckningar för att göra dina mejl oläsliga för andra utom mottagaren. Vissa är skeptiska till att låta ett insticksprogram i webbläsaren hantera krypteringen, men för webbmejl som Gmail är det definitivt bättre än ing-en kryptering alls. Mailvelope bygger på PGP och är mycket smidigt att använda.

Viktigt att komma ihåg är att Mailve-lope bara krypterar textinnehållet i dina mejl. Vill du även skydda dina bifogade fi-ler krävs ytterligare mjukvara (läs mer om Truecrypt nedan).

Börja med att installera programmet via www.mailvelope.com. Det fungerar för både Chrome och Firefox, både till Mac och Windows. När det är på plats och ak-tiverat i webbläsaren (klicka dig fram till plugins-fliken i din webbläsare) så kommer du att se en ny ikon i form av ett hänglås, till höger om webbläsarens adressfält.

Det första du behöver göra är att skapa din krypteringsnyckel. Den publika delen måste du ge till mottagaren, för att hen ska kunna skicka mejl till dig (oroa dig inte för att den hamnar i orätta händer, den publika nyckeln är till för att spridas öppet). Den privata nyckeln måste du dä-remot se till att hålla hemlig. Om någon får tag på den så kan de direkt avkryptera alla hemliga mejl som skickas till dig.

Klicka på hänglåset, välj “options” och sedan “generate key”. Fyll i ditt namn och din e-postadress. Istället för lösenord ber Mailvelope om en “passphrase” – ett råd om att lösenordet ska vara långt som en hel mening. Följ detta råd!

Klicka sen på ”display keys” så ser du din egen publika nyckel i listan. Via “Export”-menyn kan du skicka den direkt till din mottagare.

Dina vänners nycklar lägger du till ge-nom att klicka på “import keys”.

Nu är du redo att mejla säkert! Logga in


http://www.mailvelope.com

41

på webbmejlen och påbörja ett nytt mejl. Notera den nya hänglåsknappen i textfäl-tets övre högra hörn. Klicka på den för att öppna ett specialfönster för kryptering.

Det listiga med detta fönster är att or-den du skriver aldrig lämnar din egen da-tor. Det finns alltså ingen möjlighet ens för Google att läsa av texten i okrypterat

tillstånd. Skriv alltså precis som vanligt. När du är klar klickar du på hänglåset, väljer mottagare (av de vars nycklar du har importerat) och bekräftar. Vips blir texten obegriplig – ja, just det – krypterad. Tryck på “Transfer” för att klistra in det i mejlet, och skicka därefter som vanligt.

Om du får ett krypterat mejl av en vän, klicka då på hänglås-symbolen som syns över den krypterade texten. Mata in ditt lösenord och vips – texten förvandlas till läsbart skick igen.

gpgmail – kryptering på den egna macenMailvelope är ett utmärkt alternativ för webbmejlanvändaren. Men för den som håller fast vid lokala e-postprogram be-hövs andra alternativ. För dig som kör Mac är GPGMail ett bra alternativ. Det bygger i grunden på samma PGP-teknik för att hålla dina meddelanden trygga.

GPGMail är en plugin till Mac OS X in-byggda e-postprogram Mail. Det ingår i paketet GPG Suite som också innehåller fler krypteringsverktyg, men här fokuse-rar vi på e-postkrypteringen.

Ladda hem paketet från www.gp-gtools.org. Installationen behöver ingen närmare beskrivning, och principen är densamma som för Mailvelope. Du be-


Varning! Håll din privata nyckel hemlig – men tappa inte bort denSäkerheten i PGP hänger helt och fullt på att din privata nyckel aldrig hamnar i orätta händer. Se där-för till att välja ett starkt lösenord till den (se kapi-tel 2 för mer information om detta). Se även till att memorera det i huvudet och ha det inte antecknat på några papperslappar som ligger framme. Använd aldrig din privata nyckel, och knappa aldrig in ditt lösenord, på en dator som du inte vet är fri från av-lyssningsprogram eller annan skadlig kod (till exem-pel en allmän dator på ett kafé eller ett bibliotek).

Lika viktigt är att inte tappa bort nyckeln. Utan din privata nyckel är det i praktiken omöjligt att låsa upp information som krypterats för dig.

http://www.gpgtools.orghttp://www.gpgtools.org

42

höver importera dina kontakters publi-ka nycklar och de behöver importera din publika nyckel innan ni kan kommuni-cera med varandra.

När programmet är installerat dyker några extra knappar upp i fönstret där du skriver din e-post. Hänglåset är den viktiga knappen – precis som i Mailvelope är det den du klickar på för att förvandla ditt van-liga e-postmeddelande till ett krypterat.

Att ta emot krypterade brev är ännu enklare. Dessutom visar programmet tyd-ligt att meddelandet skickades på ett sä-kert sätt, även när det har låsts upp så du kan läsa det.

Till skillnad från Mailvelope kryp-terar även GPGMail dina bifogade filer. Även dessa är alltså oläsliga för alla utom din tilltänkta mottagare.

skydda bifogade filer med truecryptMed hjälp av Mailvelope skyddar du text-innehållet i dina mejl, men inte bifogade filer. För det behövs andra program, som till exempel Truecrypt.

Truecrypt är ett välkänt krypterings-program som finns för både PC och Mac. Det kan användas både för att kryptera enskilda filer eller hela minnesenheter, exempelvis ett USB-minne eller en hård-

Tips!Mejlkryptering till WindowsEn bra och kostnadsfri lösning som liknar GPGMail för Mac är GPGWin för dator som använ-der Windows. Finns att laddas ned från www.gpg4win.org


disk. Vad gäller enskilda filer kan man, något förenklat, säga att Truecrypt ska-par en låst behållare i vilken dina filer göms. Behållaren kan bara öppnas av den med rätt lösenord. Programmet är gra-tis att använda och kan laddas ned från www.truecrypt.org.

Genom att bifoga en Truecrypt-behål-lare med ett mejl krypterat med Mail-velope skyddar du alltså både mejlets textinnehåll och dina bifogade filer från avlyssning.

http://www.gpg4win.orghttp://www.truecrypt.org

43

Varning! Din e-postadress syns fortfarande

Genom att kryptera ett mejl skyddar du dess innehåll från objudna gäster. Däremot visas fort-farande din egen adress och mottagarens adress (samt en hel del annan information som till exempel vilken tid och vilket datum mejlet skickades) öppet. Sådana uppgifter brukar kallas för metadata, och är i de flesta fall mindre viktiga att skydda än mejlets själva textinnehåll. Men för dig som är mån även om att skydda din och mottagarens identiteter är det viktigt att känna till.

Ett enkelt sätt att komma runt problemet är att kombinera kryptering med anonyma och temporära mejladresser. Är du riktigt mån om både din och mottagarens anonymitet, be hen göra det samma.


Grundprincipen med Truecrypt är en-kel: Du använder programmet dels för att skapa krypterade behållare, men också för att öppna de som skickas till dig. Var-je behållare skyddas av ett lösenord som behövs för att öppna den. Vill du skicka någon en Truecrypt-behållare måste du alltså även skicka personen rätt lösenord (ett smidigt sätt är att göra detta i form

av ett krypterat mejl. På så vis förhindrar du att lösenordet snappas upp av någon annan på vägen).

I praktiken kan Truecrypt vara ett gan-ska knepigt program att använda. En ut-märkt nybörjarguide finns på http://www.truecrypt.org/docs/tutorial. Den beskri-ver steg för steg hur du går till väga för att skapa en krypterad behållare.

http://www.truecrypt.org/docs/tutorialhttp://www.truecrypt.org/docs/tutorial

44

Det har varit svårt att undgå rapporteringen om amerikanska NSA:s massavlyssning av e-post och internettrafik. Hösten 2013 avslö-jades dessutom, med stöd i dokument från visselblåsaren Edward Snowden, att de ame-rikanska och brittiska underrättelsetjänsterna lyckats knäcka flera av de mest använda kryp-teringsformerna på nätet.

Varför, kanske du undrar, ska man då ens bry sig om att försöka mejla säkert, när hem-liga agenter ändå kan läsa allt?

För det första: Att regeringar kan avlyssna allt som sägs på nätet är en sanning med mo-difikation. Edward Snowdens uppgifter om knäckta krypteringstekniker påstår, något förenklat, tre saker. Amerikanska NSA har lyckats ta sig förbi den standard som gäller för krypterad trafik över nätet (den teknik som är aktiv när du ser ett litet hänglås i webbläsarens adressfönster, och som till exempel används när du köper någonting med ditt bankkort hos en e-handlare). Man har dessutom lyckats påverka internationella krypteringsstandar-

Daniel Goldberg och Linus Larsson It-säkerhet för …...Daniel Goldberg och Linus Larsson Texten skyddas enligt lag om upphovsrätt och tillhanda-hålls med licensen Creative Commons

Documents